AI Act: Guida Completa al Regolamento Europeo IA

L'AI Act (Regolamento UE 2024/1689) è il primo framework normativo al mondo che disciplina lo sviluppo e l'utilizzo dei sistemi di intelligenza artificiale. In Italia, la Legge 132/2025 ha ufficializzato l'assetto istituzionale, designando l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionale di vigilanza con poteri ispettivi e sanzionatori.

Testo ufficiale: Regolamento (UE) 2024/1689 - EUR-Lex · Autorità italiana: ACN - agenzia-cybersicurezza-nazionale.gov.it · Autorità di notifica: AgID - Agenzia per l'Italia Digitale

Il Regolamento è entrato in vigore il 1° agosto 2024 e prevede un'applicazione per fasi: i divieti (Art. 5) sono operativi da febbraio 2025, mentre gli obblighi per i modelli GPAI scattano ad agosto 2025. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha già pubblicato i primi protocolli per la registrazione dei sistemi AI ad alto rischio in Italia.

Cos'è l'AI Act e perché è obbligatorio per le aziende?

L'AI Act nasce dall'esigenza di bilanciare l'innovazione tecnologica con la tutela dei diritti fondamentali delle persone. La Commissione Europea ha presentato la prima proposta il 21 aprile 2021. Dopo oltre due anni di negoziati tra Parlamento e Consiglio, il testo definitivo è stato approvato il 13 marzo 2024 dal Parlamento Europeo con 523 voti favorevoli.

L'obiettivo dichiarato (Art. 1) è garantire:

• Un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali
• La certezza giuridica per chi sviluppa e utilizza sistemi AI
• Il funzionamento del mercato interno dell'UE per i prodotti e servizi AI
• L'innovazione attraverso un quadro normativo proporzionato e basato sul rischio

Secondo l'EY Italy AI Barometer 2025, l'adozione dell'IA in Italia è cresciuta rapidamente al 46%. Nella mia esperienza professionale di consulenza per startup e PMI italiane, rilevo che la sfida principale non è la tecnologia, ma la governance: molte aziende integrano soluzioni AI senza aver mappato i rischi normativi, esponendosi a responsabilità civili e penali non previste.

A chi si applica l'AI Act e quali sono i soggetti vincolati?

Il Regolamento si applica a:

• Fornitori (providers) che sviluppano o fanno sviluppare sistemi AI immessi sul mercato UE, indipendentemente dalla sede
• Deployer (utilizzatori) che impiegano sistemi AI sotto la propria autorità nell'UE
• Importatori e distributori di sistemi AI nel mercato UE
• Fabbricanti di prodotti che integrano sistemi AI nei propri prodotti
• Rappresentanti autorizzati di fornitori stabiliti fuori dall'UE

Il campo di applicazione è extraterritoriale (Art. 2, par. 1, lett. c): si applica anche a fornitori e deployer stabiliti in paesi terzi, quando l'output del sistema AI è utilizzato nell'UE. Questo significa che una software house extra-UE che fornisce una soluzione di recruiting utilizzata da un'azienda italiana deve comunque conformarsi agli standard europei.

Non si applica a: sistemi AI per scopi esclusivamente militari o di difesa, attività di ricerca scientifica pura, e software open source (con eccezioni per i modelli ad alto rischio).

Come funziona la classificazione del rischio nell'AI Act?

L'AI Act adotta un approccio basato sul rischio (risk-based approach): maggiore è il rischio di un sistema AI per i diritti fondamentali, più stringenti sono gli obblighi. Sono previsti quattro livelli.

Rischio Inaccettabile — Sistemi Vietati (Art. 5)

Alcune pratiche di AI sono considerate una minaccia inaccettabile e sono vietate in modo assoluto a partire dal 2 febbraio 2025:

• Manipolazione subliminale: sistemi che utilizzano tecniche subliminali per distorcere il comportamento
• Sfruttamento di vulnerabilità: sistemi che sfruttano l'età, la disabilità o la situazione sociale
• Social scoring governativo: sistemi di classificazione sociale basati sul comportamento
• Identificazione biometrica remota in tempo reale in spazi pubblici (salvo eccezioni tassative)
• Polizia predittiva basata esclusivamente su profilazione o tratti della personalità
• Riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni scolastiche
• Categorizzazione biometrica per dedurre dati sensibili (razza, opinioni politiche, orientamento sessuale)

Rischio Alto — Obblighi Stringenti (Art. 6-49, Allegati I e III)

I sistemi ad alto rischio sono il cuore della conformità aziendale. Ho rilevato che molte aziende italiane sottovalutano la portata dell'Allegato III: sistemi apparentemente innocui per lo screening dei CV o la gestione del personale diventano 'alto rischio' con oneri documentali imponenti.

Si dividono in due categorie:

Allegato I - Sistemi AI che sono componenti di sicurezza di prodotti regolati (dispositivi medici, macchine, giocattoli, veicoli, ecc.).

Allegato III - Sistemi AI utilizzati in ambiti critici:

1. Identificazione biometrica
2. Gestione di infrastrutture critiche (energia, acqua, trasporti, digitale)
3. Istruzione e formazione professionale
4. Occupazione e gestione dei lavoratori (selezione, promozione, licenziamento)
5. Accesso a servizi essenziali (credito, assicurazioni, servizi pubblici)
6. Attività di contrasto
7. Migrazione e controllo delle frontiere
8. Amministrazione della giustizia

Obblighi per i sistemi ad alto rischio (Art. 8-15):

La piena applicazione per i sistemi ad alto rischio decorre dal 2 agosto 2026 (aggiornato dal Digital Omnibus al 2027 per alcune categorie).

Assistenza Legale: Se la tua azienda sviluppa o utilizza sistemi AI, puoi richiedere una consulenza professionale per la compliance AI Act per classificare correttamente il rischio.

Rischio Limitato — Obblighi di Trasparenza (Art. 50)

Per sistemi come i chatbot o la generazione di deepfake, l'obbligo principale è informare l'utente: "Stai interagendo con un'AI" o "Questo contenuto è stato manipolato artificialmente". La violazione di questo obbligo mina la fiducia del brand e può portare a sanzioni per pratiche commerciali scorrette.

Rischio Minimo — Nessun Obbligo Specifico

La maggior parte dei sistemi AI (filtri spam, raccomandazioni) non ha obblighi specifici, ma incoraggiamo l'adozione di codici di condotta per prevenire futuri rischi reputazionali.

Quali sono gli obblighi per i modelli AI General-Purpose (GPAI)?

L'AI Act introduce regole per i modelli alla base di ChatGPT, Claude o Gemini (Art. 51-56). I fornitori devono:

• Redigere documentazione tecnica
• Rispettare il diritto d'autore (Direttiva 2019/790)
• Pubblicare il sommario dei dati di addestramento

I modelli con rischio sistemico (potenza > 10^25 FLOP) devono anche eseguire valutazioni periodiche e segnalare incidenti gravi all'EU AI Office.

Quali sono le sanzioni e le scadenze dell'AI Act in Italia?

Per startup e PMI, l'autorità deve applicare il valore più basso tra la cifra fissa e la percentuale sul fatturato.

Tempistiche legali inderogabili

• 1° agosto 2024: Entrata in vigore
• 2 febbraio 2025: Divieto pratiche vietate
• 2 agosto 2025: Obblighi GPAI e nomina autorità nazionali
• 2 agosto 2026: Piena applicazione per sistemi ad alto rischio

L'Implementazione in Italia: Il ruolo di ACN e AgID

L'Italia ha giocato d'anticipo con la Legge 132/2025:

• ACN (Agenzia per la Cybersicurezza Nazionale): autorità di vigilanza con poteri ispettivi.
• AgID (Agenzia per l'Italia Digitale): autorità di notifica.
• Il Garante Privacy vigila sui trattamenti di dati personali (si veda la nostra guida GDPR).

AI Act e GDPR: In che modo interagiscono?

L'AI Act non sostituisce il GDPR ma lo integra. Quando un'AI tratta dati personali, si applicano entrambi. Nella mia pratica, consiglio sempre di integrare la DPIA (Data Protection Impact Assessment) con la FRIA (Fundamental Rights Impact Assessment) in un unico processo di Risk Management aziendale.

Domande Frequenti (FAQ)

L'AI Act si applica anche alle aziende italiane che usano AI di terzi (es. ChatGPT, Copilot)? Sì. Le aziende che integrano sistemi AI in prodotti o servizi rivolti al mercato UE sono classificate come deployer e sono vincolate dagli obblighi dell'AI Act, indipendentemente da chi ha sviluppato il modello. I deployer devono assicurarsi che l'uso rientri nella destinazione d'uso prevista dal fornitore e rispettare gli obblighi di trasparenza applicabili.

Cos'è un sistema AI "ad alto rischio" secondo l'AI Act? È un sistema elencato nell'Allegato III del Regolamento o incorporato in un prodotto disciplinato dall'Allegato I. Rientrano in questa categoria i sistemi usati per selezione del personale, concessione di credito, accesso a servizi essenziali, istruzione e formazione, giustizia penale e migrazione. Per questi sistemi gli obblighi documentali e di governance sono i più stringenti del Regolamento.

Qual è la differenza tra fornitore e deployer nell'AI Act? Il provider (fornitore) è chi sviluppa o fa sviluppare un sistema AI e lo immette sul mercato. Il deployer è chi usa un sistema AI sotto la propria responsabilità per fornire un prodotto o servizio. Spesso le aziende italiane ricoprono il ruolo di deployer quando acquistano soluzioni AI da terzi e le integrano nei propri processi: in tal caso sono vincolate agli obblighi previsti per i deployer dal Regolamento.

Quando scatta l'obbligo di registrare un sistema AI ad alto rischio in Italia? A partire dal 2 agosto 2026 (con alcune categorie prorogate al 2027 dal Digital Omnibus), i fornitori di sistemi ad alto rischio dovranno registrarsi nella banca dati UE gestita dall'EU AI Office. In Italia, l'ACN (Agenzia per la Cybersicurezza Nazionale) è l'autorità designata per la vigilanza e la ricezione delle notifiche.

L'AI Act e il GDPR si sovrappongono? Quale prevale? Non si escludono a vicenda: si applicano entrambi quando un sistema AI tratta dati personali. Il GDPR disciplina la protezione dei dati; l'AI Act disciplina la sicurezza e la governance del sistema AI. In pratica, per i sistemi ad alto rischio che trattano dati personali è necessario integrare la DPIA (GDPR, Art. 35) con la valutazione d'impatto sui diritti fondamentali (FRIA) prevista dall'AI Act.

Approfondimenti consigliati:

• AI Act e sanzioni per le startup italiane
• Checklist operativa AI Act per aziende
• DPO interno vs esterno: guida alla scelta

Fonti: Regolamento (UE) 2024/1689 (Gazzetta Ufficiale UE); Legge 132/2025 (GURI).